【ctf】whireshark流量分析之检索篇

已于 2023-12-21 15:20:26 修改
阅读量318 收藏
点赞数 1
文章标签: 网络 安全
于 2023-12-15 14:52:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71274136/article/details/135010286
版权

目录

简介

简单检索

简单Modbus协议分析(*)

方法一(ctrl+f)

whireshark中3个导出字符串的方法

方法二(strings)

方法三(010编辑器)

工控现场的恶意扫描(*)

modbus(*)

方法一(strings)

方法二(tcp流)

检索文件夹

异常的工程文件(*)

方法一(strings)

方法二(vscode)

2.pcap

方法一(vscode)

方法二(strings)

3.pcap

方法一(vscode)

方法二(strings)

总结

简介

检索篇基本就是流量分析中的签到题,必须要拿到的分数的题

今天要学习的是流量分析最简单的检索篇,就是只用检索一下,ctrl+f一下就出答案的题。

这些文章是给学习ctf的22级23级学弟写的,最近我会更新一些流量分析的做题技巧和知识。当然我也就是多做了一些题,理论方面也不是那么清楚,有问题大家指出来就行。

注意:有些题是网上有的,大家可以搜索去实践,但是有的是我自己收集的,搜不到的。

这一篇里面除了第一题之外的所有题全是ctfhub的

tips:*表示可以在网上搜到的题

简单检索

4G工业企业通信流量分析

这是最近比赛的拿到的题,很简单

打开后直接ctrl+f搜索flag

就会发现

很简单就出来了,至于如何提取出来在简单Modbus协议分析(*)这道题里已经详细讲过了——whireshark中3个导出字符串的方法,这里简单描述

提取字符的简单方法

方法1(显示分组字节)

方法2(追踪流)

方法3(qq微信提取)

qq、微信的截图提取文字也挺快的

注意:这题是写完加上去的,所以写的简略了些

简单Modbus协议分析(*)

打开t3.pcap,这是刚打开的页面

tips:流量分析的后缀经常事pcap和pcapng结尾

方法一(ctrl+f)

ctf流量分析入门第一步,ctrf+f查找flag,注意调成我这样

然后会发现查找不到,然后我们

这里简单按我的理解讲解一下

分组字节流:最常用的,搜索的区域就是我们数据包的内容

分组详细:是查看这一部分的(截图的全部部分)

打开看看

分组列表(这个就不太清楚了,ai回答的):表示捕获到的数据包的列表,每个数据包作为一个行显示。这一部分显示了数据包的基本信息,如时间戳、源地址、目标地址、协议类型等。

没事不重要,因为分组列表用不上

搜索666c6167,666c6167是flag的16进制表示

whireshark中3个导出字符串的方法
方法1(显示分组字节)

右键,显示分组字节

或者直接复制也行

方法2(另存储)

其他的几个

然后就到你粘贴板上了,直接复制就行

方法3(追踪流)

追踪tcp流,但是这个里面没有,不知道为啥,没成功,可能是我对这个功能了解不深吧。

但是工控现场的恶意扫描(*)可以用

所以答案是

flag{DGswTfgy1GD236fs2sfF2dskLng}

方法二(strings)

这是kali里面自带的工具,好多作用,我现在就知道一个查询可见字符串的作用,挺好用的

别看他现在没什么作用,一会立大功了

方法三(010编辑器)

工控现场的恶意扫描(*)

和上一题一样,直接搜索666c6167

找到后右键,追踪流->tcp流

但是这个就可以最终tcp流

modbus(*)

modbus | CTFHub

这一题比较特殊,检索需要加一个条件

开始我们正常检索,像这样,只能检索到一半

两种方法

方法一(strings)

tips:这个命令会在PCAP文件“6.pcap”中查找所有长度为10个字符的字符串,并将它们输出到终端上

grep -E是启用正则表达式的意思

666c61677b => flag{
3138676854 => 18ghT
317772337d => 1wr3}

flag{18ghT1wr3}

要是flag不是10位一个那就惨了,换换另一个解法

方法二(tcp流)

追踪后发现666c6167是红色,蓝色是发包,红色是回报

然后在整个对话里面赛选一下,这样就全是回包了。筛选完巴拉巴拉,就能找到,还全

666c61677b => flag{
3138676854 => 18ghT
317772337d => 1wr3}

flag{18ghT1wr3}

异常的流量分析(*,离谱的检索)

这题太杂了,就放t"cp_杂"篇了

链接:

检索文件夹

异常的工程文件(*)

这一片要学习的是检索文件夹这个技巧

打开文件,发现是个文件夹

搜索众多文件中的某个字符,我有两个方法

方法一(strings)

strings $(find . | xargs) | grep flag

或者strings $(find .) |grep flag -i

tips:$(find . | xargs) 的作用是将当前目录下所有文件和文件夹的路径作为参数传递给 strings 命令。

“find .”的意思是当前文件下的所有文件(包括子文件)

xargs 命令用于将多行的输入转换为单行的参数,以便后续命令可以正确处理

$() 是命令替换的语法,用于将命令的输出作为另一个命令的参数。

flag{854P_l5q2_9Y4a_30Yw}

方法二(vscode)

ctrl+shift+f搜索flag

翻车了,没找到

2.pcap

这个道题将会教会大家学习如何在流量分析中导出文件,并进行flag查找

打开后一篇绿,全是http和tcp协议,所以我们直接开导,开导开导

tips:遇到没思路的题,可以导一下,或许就有新发现,看见http协议的,导就完了

注意一定要创建一个文件夹!!!!!!!!要不然你的桌面会炸!

报错不用管

方法一(vscode)

我们有vscode打开文件夹,ctrl+shift+f搜索flag

tip:文件夹里的文件多看php后缀的文件和app、admin文件夹下的文件

方法二(strings)

strings $(find . | xargs) |grep flag -i

flag{GehFMsqCeNvof5szVpB2Dmjx}

3.pcap|tcp

这一题也可以归到web的常规题里面,回来还会再拿来用一遍

可以取http里面看看有没有东西

很少

导出来看看

方法一(vscode)

用vscode发现flag

tips:flag经过base64加密后的头一般都是ZmF7什么什么

还有一个栅栏

flag{oDTvbhIouUObfsZRBeiPxNUZTzGLZOHO}

方法二(strings)

tips:strings $(find . | xargs) | grep -Ei 'flag|zmf7'

用正则匹配更方便

总结

1.检索字符

        1)strings [文件名字] | grep -i flag

        或者strings [文件名字] | grep -i 666c6167

        2)ctrl+f

        3)010编辑器

2.检索文件夹

        1)strings $(find . | xargs) | grep -iE "flag|zmf7"

        2)vscode中ctrl+shift+f

文件夹里的文件多看php后缀的文件和app、admin文件夹下的文件

一大口木
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
两道CTF流量分析题,寻找flag!
03-10
题目1:在流量中寻找管理员的密码!提交格式为flag{密码} 题目2: 问题1:安全审计设备上捕获了一条OPC流量,疑似遭遇黑客攻击,请分析出黑客攻击的流量编号。(仅需找到流量编号即可) 问题2:找出藏匿在流量包中的flag(格式为flag{})
Wireshark之攻击流量分析
qq_52486507的博客
03-10 2908
7.继续查看数据包文件logs.pacapng将恶意用户下载的文件里面的内容作为Flag值(形式:[文件内容])提交。5.继续查看数据包文件logs.pacapng分析出恶意用户连接一句话木马的密码是什么,并将一句话密码作为Flag。3.继续查看数据包文件logs.pacapng分析出恶意用户读取服务器的文件名是什么,并将该文件名作为Flag值。4.继续查看数据包文件logs.pacapng分析出恶意用户写入一句话木马的路径是什么,并将该路径作为Flag值。所以Flag的值:Flag:[flag.zip]
第四届Xman个人排位赛流量分析之strange_ssid复现
12-29
第四届Xman个人排位赛流量分析之strange_ssid复现 查找SSID找到一个md5,爆破之,得flag{n3k0}
启明HW-流量分析考题
04-24
本资源是启明星辰对于护网的考核题目,主要是流量分析方面的实战题目。
一道冰蝎文件流量分析的例题
09-01
一道冰蝎文件流量分析的例题
CTF流量分析
shy的博客
06-05 2万+
CTF杂项中存在一种题型——流量分析,主要是给你一个流量包,让你分析获取其中的flag的值。 有5种方式,可以直接查找flag。 1、直接搜索 2、使用notepad++等软件,直接打开流量包,搜索关键字 3、编写python脚本 #encoding:utf-8 #用二进制方式读取文件 file=open("networking.pcap","rb") #读取文件内容 i=file.read() #查找字段 a1=i.find("flag{") a2=i.find("}",a1) #将查
wirehark数据分析与取证flag.pcap
Aluxian_的博客
04-18 1万+
什么是wireshark?wiresharekflag.pcap数据包数据包下载 请私信博主 wiresharek Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是检索取网络封包,并同时显示出最详细的网络封包数据。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 wireshark的介绍: 假设您是一名网络安全工程师,需要对某公司的公司进行数据分析分析黑客获取电脑权限进行的操作,我们本章主要以分析案例数据包进行分析关键数据。 flag.p
wireshark流量分析网络安全
夜思红尘的博客
04-18 2966
这是关于一篇wireshark分析数据包的文章,主要是网络安全里的应用,讲述了wireshark的使用方法,主要使用的事wrieshark里的追踪流,欢迎大家学习借鉴!
CTF流量分析
m0_37442062的博客
05-03 3729
1.flag被盗了,pcap(gnnl) 尝试http过滤,get或者post追踪tcp流即可,这里是post, flag{This_is_a_f10g} 2.这么多数据包找找吧,先找到getshell的流pcap(vn78) 过滤tcp TCP流通常是命令行操作 Q0NURntkb195b3VfbGlrZV9zbmlmZmVyfQ== 解码:CCTF{do_you_like_sniffer} 3.有一天皓宝宝没了流量只好手机来共享,顺便又从手机发了点小秘密到电脑,你能找到它吗?
CTF攻防世界 Misc高手进阶区 6分题 Wireshark(详细解析)
weixin_66146598的博客
06-07 2200
继续ctf的旅程,攻防世界Misc高手进阶区的6分题,本篇是Wireshark的writeup,发现攻防世界的题目分数是动态的,就仅以做题时的分数为准了。
ctf逆向安卓篇.pdf
11-16
ctf逆向安卓篇.pdf
CTF-Misc-wireshark软件解题的基本使用与操作;
半岛铁盒的博客
11-20 3125
软件的下载 大家可以参考我的另一篇博客:https://blog.csdn.net/weixin_45556441/article/details/109864690 软件的使用 本人以CTF查找flag的形式进行说明; 操作1:查找flag 快捷键Ctrl+F注意箭头的参数; 点击查找,有时候要多点几次才能查找到关键信息; 操作2:看信息栏 操作三,根据信息栏进一步得到关键信息 采用追踪流的形式进一步查看; * 快捷键 Ctr+O 文件打开 Ctrl+W 关闭文件 Crl+S 保存 Shift+Ctrl+
会查找吗---流量分析
最新发布
weixin_73625393的博客
10-25 134
题目要求:1.将文件下载解压,使用wireshark打开该文件在wireshark搜索框中输入:tcp.connection.syn,按Ctrl+F,选择为字符串,输入:flag2.接着点击Protocol,对协议进行分类排序,然后向下查找,发现了Modbus/TCP协议右键,追踪流---TCP流对该流进行搜索分析,搜索不到flag,向下查找,发现flag为正确的flag:ctf{Easy_Mdbus}提交成功
wireshark实战-flag被盗溯源
TianYao
04-10 5729
wireshark实战-flag被盗溯源一,中国菜刀数据包制作1.中国菜刀工具2.劫持http数据包二、分析数据包方法一:三、相关预告 相关文章链接: 5分钟彻底扫除TCP/IP协议学习障碍-wirshark使用详解 wireshark 捕获过滤器入门进阶 - CaptureFilters 一,中国菜刀数据包制作 1.中国菜刀工具 中国菜刀工具可以移步官网下载 2.劫持http数据包 官网有...
简单流量分析CTF(wireshark)
wcl20010的博客
05-10 1万+
没做过流量分析的题目,也不怎么了解怎么流量分析,准备系统的理一下思路。。 这有第一个小题目。通过几个题目来了解wireshark的使用以及流量分析吧。。 追踪流量 bugku的杂项题目。 链接:https://pan.baidu.com/s/1OnO7OXIQB8ztl8J2q48jBA 提取码:1111 这是一个pacp文件 是一种常用的数据报存储文件,存储了一段数据包。 打开wireshark直接文件拖进去就可以打开了。 然后右键一个数据包选择追踪流 点开就得到了fla...
CTF misc之流量分析题套路总结
热门推荐
黑面狐
01-24 3万+
1.前言 昨天去I春秋刷了几题流量分析题,然后总结了一下流量分析题的做题方法。 2.刷题 2.1 可恶的黑客 步骤一、HTTP追踪流先了解进行什么操作 可以看到是传了webshell然后进行文件操作 套路1:一般是传webshell然后菜刀连接,参数进行base64位加密,先解密参数,了解进行了什么操作 一步步解密请求参数了解进行什么操作 这个是传webshell里
CTF 流量包相关-流量分析(1)
qq_56815564的博客
04-28 9607
前面的flag不论是直接给你明文,还是有一定的编码,都是比较简单的,像这些十成甚至九成都会是签到题,所以了解一下知道有这种情况就好,重点不再这边另外这里还是给出一下风佬的脚本吧,虽然我感觉用到的几率应该不会很大,如果要用的话,那个破空查flag的工具应该会比较好用,下载的话,风佬的git里面应该有,这里就不给了。
Wireshark文档阅读笔记-TCP Flags
IT1995的博客
01-27 2853
TCP flags是什么? TCP flags存在于TCP数据包中,这个标志位暗示连接状态和一些额外的信息。这个标志位常用于故障诊断或是控制某种特定的连接下面介绍了TCP flags如:SYN、ACK、FIN。 List of TCP flags 每一个TCP flag的大小都是1bit。下面将介绍每一个标志位: SYN:同步标志位,用于2台主机要建立连接时,第一次发出的数据包,在TCP三次握手中,前两次握手会带有SYN标志位,如上图的TCP三次握手。 ACK:确认位,用于说明前对方...
ctf流量分析练习一
gclome的博客
08-23 3527
最近在学习流量分析这块的内容,找到一篇不错的文章,就准备复盘一下。 原文链接:https://www.freebuf.com/column/169738.html Q1 打开这个流量包,大致分析一下是一个邮箱请求登陆的一个流量包,一眼就看见了 user和pass,需要base64解密一下即可。 base64解密地址:https://base64.supfree.net/ username:[email protected] password:FLAG:ISCCTESTpas flag就藏在password里 Q
ctf流量分析出题套路
10-09
对于CTF流量分析出题,套路主要分为以下几种: 1. 分析协议字段: 在网络协议中,各个字段的含义和取值范围是固定的。通过对网络流量中协议字段的分析,可以得到很多有用的信息,如IP地址、端口、协议类型、数据包类型等等。 2. 分析协议特征: 不同的协议有不同的特征和规律,例如HTTP头部信息、DNS域名解析请求、SMTP邮件传输等等。通过对这些特征进行分析,可以发现一些隐藏的信息或异常情况。 3. 分析协议流: 通过对协议流的整体分析,可以找出其中的规律和异常情况,例如TCP连接的建立和断开、UDP数据包丢失、ICMP错误信息等等。这种方法需要对协议本身有深入的了解和实际操作经验。 4. 分析攻击特征: CTF比赛中有很多与安全相关的题目,例如网络攻击、漏洞利用、密码破解等等。通过对攻击流量分析,可以发现攻击者的意图、手段和目标,同时也可以学习到一些防御和应对的技巧。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值